
Immer wieder neue Passwörter? Ein fataler Fehler. Experten warnen: Wer ständig wechselt, wählt unsichere Muster. Stattdessen braucht es andere Schutzmaßnahmen. (Bild: kebox – Adobe Stock)
Wie ist bei Ihnen? Haben Sie in den letzten Wochen und Monaten auch eine Aufforderungen kommen, Ihr Passwort zu wechseln? Möglicherweise erst vor kurzem? Hintergrund ist, dass jedes Jahr am 1. Februar der sogenannte "Ändere-dein-Passwort"-Tag begangen wird. Diesen Aktionstag gibt es seit dem 1. Februar 2012. Angefangen hat er als amerikanischer "Change Your Password Day" (engl.: National Change Your Password Day - oft auch kurz: Change Your Password Day), den damals das amerikanischen Webportal Gizmondo ins Leben gerufen hat. Ursprünglich war er als Sicherheitsmaßnahme gedacht – allerdings gibt es immer mehr kritische Stimmen zu diesem Tag. Denn: Die Aufforderung, Passwörter regelmäßig zu ändern, ist nicht nur überholt, sondern kann unter Umständen die Sicherheit von Benutzerkonten sogar gefährden. Aber warum?
Warum regelmäßige Passwortwechsel problematisch sind
Die Praxis, Passwörter regelmäßig zu ändern, basierte auf der Annahme, dass beispielsweise durch Sicherheitslücken in Datenbanken kompromittierte Passwörter so durch neue ersetzt werden. Doch diese Logik weist gravierende Schwächen auf. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) führt ein solcher Zwang in der Regel dazu, dass Nutzer schwächere Passwörter wählen. Sie greifen dann häufig zu vorhersehbaren Mustern oder minimalen Änderungen, wie der Erhöhung einer Ziffer am Ende des Passworts. Jeder kann an dieser Stelle einmal in sich gehen, ob ihm dieses Szenario bekannt vorkommt.
Auch das National Institute of Standards and Technology (NIST) bestätigt: Regelmäßige, anlassunabhängige Passwortwechsel sind nicht mehr zeitgemäß. Stattdessen sollten Organisationen darauf achten, dass Passwörter nur dann geändert werden, wenn ein begründeter Verdacht auf Kompromittierung besteht.
Moderne Alternativen: Passkeys und Zwei-Faktor-Authentisierung
Statt sich ausschließlich auf Passwörter zu verlassen, empfiehlt das BSI den Einsatz modernerer Sicherheitsmaßnahmen wie Passkeys und der Zwei-Faktor-Authentisierung (2FA). Passkeys ersetzen Passwörter durch biometrische Merkmale oder kryptografische Verfahren und machen so Phishing und ähnliche Angriffe wirkungslos. Die Zwei-Faktor-Authentisierung fügt eine zusätzliche Schutzebene hinzu, indem sie beispielsweise einen Code aus einer Authentifizierungs-App erfordert.
Passwortmanager: Unterstützung für komplexe Passwörter
Ein weiterer Schritt zur Verbesserung der Sicherheit ist die Verwendung eines Passwortmanagers. Diese Tools erstellen und speichern komplexe Passwörter und reduzieren das Risiko durch Wiederverwendung oder Schwachstellen in der Passwortwahl erheblich. Wichtig ist jedoch, dass auch der Passwortmanager sicher konfiguriert ist, um Manipulationen oder Datenlecks zu verhindern
Dazu Dr. Markus Bieletzki, von der Stiftung Warentest und Mitglied im Beirat Digitaler Verbraucherschutz des BSI: „Eine sichere Alternative zu Passwörtern stellen außerdem Passkeys dar: Statt ein Passwort einzugeben, nutzen Verbraucherinnen und Verbraucher dabei beispielsweise ihren Fingerabdruck, die Gesichtserkennung oder eine PIN auf ihrem Smartphone oder Computer, um ein kryptografisches Verfahren in Gang zu setzen. Da sie kein Passwort mehr eingeben müssen, können Kriminelle auch kein Passwort mehr z. B. bei einem Phishing-Angriff oder Datenleck abgreifen oder anderweitig knacken. Das Benutzerkonto bleibt also gut geschützt.“
Leitfaden für den Umgang mit Passwörtern
Tipps für sichere Passwörter:
-
Einzigartigkeit & Wiederverwendungsfreiheit
- Verwenden Sie für jeden Dienst ein einzigartiges Passwort.
- Wiederverwendung bereits genutzter Passwörter ist ein hohes Risiko.
-
Lange und komplexe Passwörter
- Empfohlen werden mindestens 12–16 Zeichen.
- Nutzen Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
-
Keine einfachen oder vorhersehbaren Passwörter
- Vermeiden Sie triviale Zahlenfolgen („123456“), einfache Wörter („password“), Tastaturmuster („qwertz“) oder häufige Begriffe (z. B. Fußballvereine).
- Leetspeak-Varianten wie „P@ssw0rt“ sind nicht sicher, da sie bekannt und leicht zu knacken sind.
-
Passwortmanager verwenden
- Speichert und generiert sichere Passwörter, sodass Sie sich keine merken müssen.
-
Multi-Faktor-Authentifizierung (MFA) aktivieren
- Zusätzliche Absicherung durch eine PIN, einen Hardware-Token oder biometrische Merkmale.
-
Passwortwechsel nur bei Vorfällen
- Kein regelmäßiger erzwungener Wechsel, sondern nur bei Verdacht auf Kompromittierung.
-
Keine dienstspezifischen Namen oder persönlichen Informationen
- Vermeiden Sie Passwörter, die Namen der Organisation, Städte oder persönliche Daten enthalten.
-
Nutzung von modernen Technologien wie Passkeys erwägen
- Passkeys sind eine sicherere Alternative zu klassischen Passwörtern und verringern das Risiko von Leaks.
-
Überprüfung auf geleakte Zugangsdaten
- Nutzen Sie Dienste wie „Have I Been Pwned“, um zu prüfen, ob Ihre Zugangsdaten kompromittiert wurden.
Der 1. Februar als Tag für echte Sicherheitsverbesserungen
Der Ändere-dein-Passwort-Tag bietet eine hervorragende Gelegenheit, die eigene digitale Sicherheit zu überdenken. Wer diesen Tag nutzen möchte, um etwas für die Sicherheit zu tun, sollte bei seinen wichtigsten Konten beginnen – zum Beispiel beim E-Mail-Account. Dieser ist oft der Zugangspunkt für zahlreiche weitere Dienste und daher besonders schützenswert. Das BSI rät: „Wer bislang nur ein schwaches Passwort verwendet oder den Verdacht hat, ein Passwort sei nicht mehr geheim, kann den 1. Februar nutzen, um dies zu ändern – womöglich zum letzten Mal. Besteht kein begründeter Verdacht, können Verbraucherinnen und Verbraucher den Aktionstag besser nutzen, indem sie die Zwei-Faktor-Authentisierung aktivieren oder gleich auf Passkeys umsteigen.“
Der Autor: Dr. Martin Large

Aus dem Schoß einer Lehrerfamilie entsprungen (Vater, Großvater, Bruder und Onkel), war es Martin Large schon immer ein Anliegen, Wissen an andere aufzubereiten und zu vermitteln. Ob in der Schule oder im (Biologie)-Studium, er versuchte immer, seine Mitmenschen mitzunehmen und ihr Leben angenehmer zu gestalten. Diese Leidenschaft kann er nun als Redakteur ausleben. Zudem kümmert er sich um die Themen SEO und alles was dazu gehört bei all-electronics.de.